Image Credits: Getty Images
Mozilla ha ulteriormente potenziato anti-rilevamento misure del suo browser Firefox. In un post sul blog di ieri ha annunciato che Firefox 86 ha un ulteriore livello di tracciamento anti-cookie integrato nella modalità rigorosa Enhanced Tracking Protection (ETP), che chiama “Total Cookie Protection” (TCP).
Questo “importante anticipo sulla privacy”, in quanto lo fattura, impedisce il tracciamento cross-site siloing di cookie di terze parti per sito web.
Mozilla paragona questo ad avere un barattolo di cookie separato per ogni sito, quindi, ad esempio, i cookie di Facebook non vengono memorizzati nella stessa vasca dei cookie per quel sito Web di sneaker in cui hai acquistato i tuoi ultimi calci e così via.
Il nuovo livello di privacy wrapping “fornisce il partizionamento completo di cookie e altri dati del sito tra i siti Web in Firefox”, spiega Mozilla.
Insieme ad un’altra funzione anti-tracking ha annunciato il mese scorso-il targeting dei cosiddetti “supercookies” – ovvero inseguitori subdoli che memorizzano gli ID utente in parti” sempre più oscure ” del browser (come memoria Flash, ETAG e bandiere HSTS), cioè dove è difficile per gli utenti eliminarli o bloccarli — le funzionalità si combinano per “impedire ai siti Web di essere in grado di” taggare “il tuo browser, eliminando così la tecnica di tracciamento cross-site più pervasiva”, per Mozilla.
Esiste una “eccezione limitata” per i cookie cross-site quando sono necessari per scopi non di tracciamento: Mozilla fornisce l’esempio dei popolari provider di accesso di terze parti.
“Solo quando Total Cookie Protection rileva che si intende utilizzare un provider, darà a tale provider il permesso di utilizzare un cookie cross-site specifico per il sito che si sta attualmente visitando. Tali eccezioni momentanee consentono una forte protezione della privacy senza influire sulla tua esperienza di navigazione”, aggiunge.
Il blocco del tracker è stato a lungo una corsa agli armamenti contro la determinazione dell’industria adtech di continuare a sorvegliare gli utenti web — e ad annusare la nozione di consenso per spiare il business online delle persone — riversando risorse nell’escogitare nuove tecniche diaboliche per cercare di continuare a guardare ciò che gli utenti di Internet stanno facendo. Ma questa battaglia si è intensificata negli ultimi anni in quanto i produttori di browser hanno assunto una posizione pro-privacy/anti-tracker più dura.
Mozilla, ad esempio, ha iniziato a fare tracker bloccando il default nel 2018 — andando a fare ETP il default in Firefox nel 2019, bloccando i cookie da aziende identificate come tracker dal suo partner, Disconnect.
Mentre il browser Safari di Apple ha aggiunto una funzione” Intelligent Tracking Prevention ” (ITP) nel 2017 — applicando l’apprendimento automatico per identificare i tracker e separare i dati di scripting cross-site per proteggere la cronologia di navigazione degli utenti da occhi di terze parti.
Google ha anche messo il gatto tra i piccioni adtech annunciando un piano di eliminazione del supporto per i cookie di terze parti in Chrome-che ha detto sarebbe venuta entro due anni nel mese di gennaio 2020-anche se è ancora al lavoro su questo progetto “privacy sandbox”, come lo chiama (ora sotto l’occhio vigile di U. K. regolatori antitrust).
Google ha fatto rumori di rafforzamento della privacy dal 2019, in risposta al resto del mercato dei browser che risponde alla preoccupazione per la privacy online.
Nel mese di aprile dello scorso anno ha rollback un cambiamento che aveva reso più difficile per i siti di accedere ai cookie di terze parti, citando preoccupazioni che i siti sono stati in grado di svolgere funzioni essenziali durante la pandemia-anche se questo è stato ripreso nel mese di luglio. Ma è giusto dire che il gigante adtech rimane il ritardatario quando si tratta di eseguire il suo piano rivendicato per rafforzare la privacy.
Data la quota di mercato di Chrome, che lascia la maggior parte degli utenti web del mondo esposti a più di monitoraggio di quanto altrimenti sarebbe utilizzando un diverso, più privacy-proactive browser.
E come l’ultima funzionalità di tracciamento anti-cookie di Mozilla mostra, anche la corsa per superare in astuzia l’allergia di adtech alla privacy (e al consenso) non è il tipo che ha un traguardo. Quindi essere lenti a fare protezione della privacy probabilmente non è molto diverso da non offrire molta protezione della privacy.
A wit: Uno sviluppo preoccupante – sul fronte del tracciamento basato su cookie non di terze parti-è dettagliato in questo nuovo documento da un gruppo di ricercatori sulla privacy che hanno condotto un’analisi del tracciamento CNAME (ovvero una tecnica di evasione anti-tracking basata su DNS) e ha scoperto che l’uso del subdolo metodo di evasione anti-tracking era cresciuto di circa un quinto in
La tecnica ha sollevato preoccupazioni mainstream sul monitoraggio Web “sbloccabile” da circa 2019, quando gli sviluppatori hanno notato che veniva utilizzato in natura da un sito Web di giornali francesi. Da allora l’uso è aumentato, secondo la ricerca.
In poche parole, la tecnica di tracciamento CNAME copre il tracker iniettandolo nel contesto di prima parte del sito Web visitato-tramite il contenuto incorporato attraverso un sottodominio del sito che è in realtà un alias per il dominio tracker.
” Questo schema funziona grazie a una delega DNS. Il più delle volte si tratta di un record CNAME DNS”, scrive uno degli autori di carta, privacy e sicurezza ricercatore Lukasz Olejnik, in un post sul blog sulla ricerca. “Il tracker tecnicamente è ospitato in un sottodominio del sito web visitato.
” L’impiego di tale regime ha alcune conseguenze. E ‘ tipo di sciocchi la sicurezza web fondamentale e privacy protezioni-a pensare che l’utente sta navigando volontariamente il sito web tracker. Quando un browser web vede un tale schema, alcune protezioni di sicurezza e privacy sono rilassate.”
Non fatevi ingannare dall’uso della parola ‘rilassato’ — come Olejnik continua a sottolineare che la tecnica di tracciamento CNAME ha “implicazioni sostanziali per la sicurezza web e la privacy”. Come i browser che vengono ingannati nel trattare un tracker come contenuto legittimo di prima parte del sito Web visitato (che, a sua volta, sblocca “molti vantaggi”, come l’accesso ai cookie di prima parte-che possono quindi essere inviati a server remoti di terze parti controllati dai tracker in modo che l’entità di sorveglianza possa avere il suo modo malvagio con
Quindi il rischio è che una parte del lavoro di ingegneria intelligente svolto per proteggere la privacy bloccando i tracker possa essere messa da parte mettendosi sotto il radar degli anti-tracker.
I ricercatori hanno trovato un (infame) fornitore di tracker, Criteo, ripristinando i suoi script di tracciamento allo schema di mantello CNAME personalizzato quando ha rilevato il browser web Safari in uso — come, presumibilmente, un modo per aggirare l’ITP di Apple.
Ci sono ulteriori preoccupazioni anche sul tracciamento CNAME: il documento descrive come, come conseguenza dell’attuale architettura web, lo schema “sblocca un modo per ampie perdite di cookie”, come dice Olejnik — spiegando come il risultato della tecnica implementata possa essere “molti cookie legittimi non correlati” inviati al sottodominio del tracker.
Olejnik ha documentato questa preoccupazione in uno studio nel 2014-ma scrive che il problema è ora esploso: “Come la punta dell’iceberg, abbiamo trovato ampie perdite di dati su 7.377 siti web. Alcune perdite di dati si verificano su quasi tutti i siti Web che utilizzano lo schema CNAME (i cookie analytics comunemente perdono). Ciò suggerisce che questo schema è attivamente pericoloso. È dannoso per la sicurezza web e la privacy.”
I ricercatori hanno trovato i cookie che perdono sul 95% dei siti Web degli studi.
Riportano anche la ricerca di perdite di cookie impostati da altri script di terze parti, suggerendo che i cookie trapelati consentirebbero in questi casi al tracker CNAME di tracciare gli utenti attraverso i siti web.
In alcuni casi hanno scoperto che le informazioni trapelate contenevano informazioni private o sensibili, come il nome completo di un utente, la posizione, l’indirizzo e — mail e (in un ulteriore problema di sicurezza) cookie di autenticazione.
Il documento continua a sollevare una serie di problemi di sicurezza Web, come ad esempio quando i tracker CNAME vengono serviti su HTTP non HTTPS, che hanno trovato spesso e potrebbero facilitare gli attacchi man-in-the-middle.
Difendere contro lo schema di occultamento CNAME richiederà alcuni dei principali browser di adottare nuovi trucchi — per i ricercatori – che notano che mentre Firefox (quota di mercato globale circa 4%) offre una difesa contro la tecnica Chrome non lo fa.
Gli ingegneri del motore WebKit che sta alla base del browser Safari di Apple hanno anche lavorato per apportare miglioramenti a ITP volti a contrastare il tracciamento CNAME.
In un post sul blog lo scorso novembre, l’ingegnere IPT John Wilander ha scritto che come difesa contro la tecnica subdola “ITP ora rileva le richieste di occultamento CNAME di terze parti e limita la scadenza di qualsiasi cookie impostato nella risposta HTTP a 7 giorni. Questo limite è allineato con il limite di scadenza di ITP su tutti i cookie creati tramite JavaScript.”
Il browser Brave ha anche annunciato cambiamenti lo scorso autunno volti a combattere l’occultamento di CNAME.
“Nella versione 1.25.0, uBlock Origin ha acquisito la capacità di rilevare e bloccare le richieste occultate da CNAME utilizzando il fantastico browser di Mozilla.api dns. Tuttavia, questa soluzione funziona solo in Firefox, in quanto Chromium non fornisce il browser.api dns. In una certa misura, queste richieste possono essere bloccate utilizzando server DNS personalizzati. Tuttavia, nessun browser è stato fornito con funzionalità di protezione adblocking basate su CNAME disponibili e attivate per impostazione predefinita”, ha scritto.
” In Brave 1.17, Brave Shields ora controllerà ricorsivamente i record dei nomi canonici per qualsiasi richiesta di rete che non è altrimenti bloccata utilizzando un resolver DNS incorporato. Se la richiesta ha un record CNAME e la stessa richiesta sotto il dominio canonical viene bloccata, la richiesta viene bloccata. Questa soluzione è attiva per impostazione predefinita, offrendo protezione della privacy avanzata a milioni di utenti.”
Ma il browser con la più grande quota di mercato, Chrome, ha del lavoro da fare, per i ricercatori, che scrivono:
Poiché Chrome non supporta un’API di risoluzione DNS per le estensioni, la difesa non può essere applicata a questo browser. Di conseguenza, troviamo che quattro dei tracker basati su CNAME (Oracle Eloqua, Eulerian, Criteo e Keyade) sono bloccati da uBlock Origin su Firefox ma non sulla versione di Chrome.
Discutendo i risultati della ricerca, Tom Van Goethem, un altro degli autori del documento, ha affermato che i dati del team mostrano che gli editori Web che utilizzano il tracciamento CNAME lo utilizzano per integrare altri metodi di tracciamento di terze parti più “tipici”.
“I nostri dati mostrano che gli editori che adottano CNAME-based hanno già un numero considerevole di tracker (20+ per sito in media), e scoprire che questo numero di tracker rimane stabile nel tempo. Ciò indica che il tracciamento basato su CNAME non viene utilizzato come sostituzione del tipico tracciamento di terze parti, ma piuttosto per incrementare le loro capacità di tracciamento, ad esempio il targeting degli utenti con meccanismo anti-tracking”, ha detto a TechCrunch.
I ricercatori non si sono concentrati sull’elaborazione di una spiegazione causale per l’aumento dell’uso del cloaking CNAME. Ma Van Goethem ha detto di aver trovato alcuni tracker che lo usavano solo contro il browser Safari (“che è noto per includere severe protezioni anti-tracking”) — il che suggerisce (almeno) una spiegazione parziale per l’uso crescente della tecnica.
Alla domanda su quale tipo di risposta della comunità vorrebbero vedere per combattere lo schema CNAME, ha detto: “Idealmente, più difese anti-tracking dovrebbero adottare misure robuste contro il tracciamento basato su CNAME in modo tale che gli utenti siano protetti indipendentemente dal browser che stanno usando.”
I browser devono distribuire più difese per combattere una varietà di tecniche al fine di difendere efficacemente la privacy degli utenti. Quindi, nel caso della nuova funzionalità TCP di Firefox, Van Goethem ha notato che mentre non influisce sul tracciamento basato su CNAME (di prima parte)” in sostanza”, protegge dalla sincronizzazione dei cookie tra siti che utilizzano il tracciamento di prima parte.
“Con il tracciamento basato su CNAME, il tracker può seguire le attività dell’utente su un sito specifico (che include il tracker), ma ha bisogno di sincronizzare i cookie con altri siti per collegare le attività tracciate di uno specifico utente sul sito A alle attività di quello stesso utente sul sito B. La protezione totale dei cookie impedirebbe questo”, ha spiegato.
Altre tecniche di tracciamento non basate sui cookie l-ike fingerprinting del dispositivo e fingerprinting effimero-possono anche essere utilizzate per aggirare le difese basate su browser contro il tracciamento basato sui cookie. “Ciò significa che le difese devono essere complete e fornire protezioni contro tutti i tipi di tracciamento per salvaguardare gli utenti”, per Van Goethem.
“Speriamo che la nostra analisi su larga scala, che dimostra che il tracciamento basato su CNAME è in aumento, aumenterà la consapevolezza e incentiverà gli utenti e i fornitori di browser a far avanzare le difese contro questo meccanismo di tracciamento”, ha aggiunto.
” Inoltre, speriamo che il nostro studio evidenzi il potenziale impatto sulla sicurezza che gli editori devono affrontare includendo tracker basati su CNAME. Nel corso del nostro studio abbiamo scoperto due problemi di sicurezza che riguardano tutti i visitatori dei siti publisher; in un caso il problema non è ancora stato risolto (nonostante i molteplici tentativi di raggiungere il tracker per segnalare la vulnerabilità), mettendo a rischio i visitatori di centinaia di siti web.”
L’azione/applicazione normativa potrebbe anche essere utile per frenare l’uso della tecnica CNAME, ha anche suggerito.
Questo rapporto è stato aggiornato con commenti aggiuntivi.
{{{titolo}}}
{{{autore}}}
{{{data}}}